Meilleures pratiques et considérations relatives au partage de données entre comptes - AWS Lake Formation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Meilleures pratiques et considérations relatives au partage de données entre comptes

Les fonctionnalités multi-comptes de Lake Formation permettent aux utilisateurs de partager en toute sécurité des lacs de données distribués entre plusieurs AWS organisations ou directement avec IAM les responsables d'un autre compte Comptes AWS, offrant ainsi un accès détaillé aux métadonnées du catalogue de données et aux données sous-jacentes.

Tenez compte des meilleures pratiques suivantes lorsque vous utilisez le partage de données entre comptes de Lake Formation :

  • Il n'y a pas de limite au nombre d'autorisations de Lake Formation que vous pouvez accorder aux directeurs d'école pour votre propre AWS compte. Cependant, Lake Formation utilise AWS Resource Access Manager (AWS RAM) la capacité pour les subventions entre comptes que votre compte peut accorder avec la méthode de ressource nommée. Pour optimiser la AWS RAM capacité, suivez les meilleures pratiques suivantes pour la méthode de ressource nommée :

    • Utilisez le nouveau mode de subvention entre comptes (version 3 et supérieure, sous Paramètres des versions entre comptes) pour partager une ressource avec un externe Compte AWS. Pour de plus amples informations, veuillez consulter Mise à jour des paramètres de version de partage de données entre comptes.

    • AWS Répartissez les comptes en organisations et accordez des autorisations à des organisations ou à des unités organisationnelles. Une subvention accordée à une organisation ou à une unité organisationnelle est considérée comme une subvention.

      L'octroi à des organisations ou à des unités organisationnelles élimine également le besoin d'accepter une AWS Resource Access Manager (AWS RAM) invitation à partager des ressources pour la subvention. Pour de plus amples informations, veuillez consulter Accès aux tables et aux bases de données partagées du catalogue de données et affichage de celles-ci.

    • Au lieu d'accorder des autorisations sur de nombreuses tables individuelles d'une base de données, utilisez le caractère générique spécial Toutes les tables pour accorder des autorisations sur toutes les tables de la base de données. L'octroi d'une subvention sur toutes les tables est considéré comme une subvention unique. Pour de plus amples informations, veuillez consulter Octroi d'autorisations sur les ressources du catalogue de données.

    Note

    Pour plus d'informations sur la demande d'une limite plus élevée pour le nombre de partages de ressources dans AWS RAM, voir les quotas de AWS service dans le Références générales AWS.

  • Vous devez créer un lien de ressource vers une base de données partagée pour que cette base de données apparaisse dans les éditeurs de requêtes Amazon Redshift Spectrum Amazon Athena et Amazon Redshift. De même, pour pouvoir interroger des tables partagées à l'aide d'Athena et Redshift Spectrum, vous devez créer des liens de ressources vers les tables. Les liens vers les ressources apparaissent ensuite dans la liste des tables des éditeurs de requêtes.

    Au lieu de créer des liens de ressources pour de nombreuses tables individuelles à des fins d'interrogation, vous pouvez utiliser le caractère générique Toutes les tables pour accorder des autorisations sur toutes les tables d'une base de données. Ensuite, lorsque vous créez un lien de ressource pour cette base de données et que vous sélectionnez ce lien de ressource de base de données dans l'éditeur de requêtes, vous aurez accès à toutes les tables de cette base de données pour votre requête. Pour de plus amples informations, veuillez consulter Création de liens vers des ressources.

  • Lorsque vous partagez des ressources directement avec les principaux d'un autre compte, le IAM principal du compte destinataire n'est peut-être pas autorisé à créer des liens vers des ressources pour interroger les tables partagées à l'aide d'Athena et d'Amazon Redshift Spectrum. Au lieu de créer un lien de ressource pour chaque table partagée, l'administrateur du lac de données peut créer une base de données fictive et accorder des CREATE_TABLE autorisations au ALLIAMPrincipal groupe. Tous les IAM principaux du compte destinataire peuvent ensuite créer des liens de ressources dans la base de données d'espaces réservés et commencer à interroger les tables partagées.

    Consultez l'exemple de CLI commande pour accorder des autorisations ALLIAMPrincipals d'entréeOctroi d'autorisations de base de données en utilisant la méthode de ressource nommée.

  • Athena et Redshift Spectrum prennent en charge le contrôle d'accès au niveau des colonnes, mais uniquement pour l'inclusion, et non pour l'exclusion. Le contrôle d'accès au niveau des colonnes n'est pas pris en charge dans les AWS Glue ETL tâches.

  • Lorsqu'une ressource est partagée avec votre AWS compte, vous pouvez accorder des autorisations sur cette ressource uniquement aux utilisateurs de votre compte. Vous ne pouvez pas accorder d'autorisations sur la ressource à d'autres AWS comptes, à des organisations (pas même à votre propre organisation) ou au IAMAllowedPrincipals groupe.

  • Vous ne pouvez pas accorder DROP ou attribuer une Super base de données à un compte externe.

  • Révoquez les autorisations entre comptes avant de supprimer une base de données ou une table. Dans le cas contraire, vous devez supprimer les partages de ressources orphelins dans AWS Resource Access Manager.

Consultez aussi